Zugriff von WAN auf LAN

Tutorial: Zugriff von WAN auf LAN


1. Zugriff auf ein oder mehrere Geräte hinter dem mbNET via SimpleNAT

2. Zugriff auf ein oder mehrere Geräte hinter dem mbNET über Port Forwarding

3. Zugriff auf ein oder mehrere Geräte hinter dem mbNET / mbNET.mini über einen Gateway Eintrag

 


1. Zugriff auf ein oder mehrere Geräte hinter dem mbNET via SimpleNAT

Falls Sie von einem Netzwerk, in welchem sich auch ein mbNET / mbNET.mini lokal befindet, von der WAN Seite auf ein oder mehrere Geräte, welche LAN-seitig mit dem mbNET / mbNET.mini verbunden sind, zugreifen wollen, benötigen Sie hierfür eine oder mehrere SimpleNAT Regeln.

Über SimpleNAT kann über eine freie WAN-IP-Adresse ein Netzwerkteilnehmer aus dem LAN Netzwerk direkt angesprochen und erreicht werden. Diese IP-Adresse wird dann zusätzlich zur WAN-Schnittstelle hinzugefügt und direkt auf die eingetragene LAN-IP-Adresse „genattet“, also 1:1 gespiegelt. Wichtig hierbei ist, dass bei WAN eine statische IP-Adresse konfiguriert ist.


Als Beispiel liegt folgender Netzwerkaufbau zugrunde:
Von ein oder mehreren PCs aus dem WAN soll auf drei Netzwerkteilnehmer über das mbNET / mbNET.mini zugegriffen werden.

Bei dem mbNET ist als statische WAN-IP 10.10.0.100 und als LAN-IP 192.168.0.100 konfiguriert.

Folgende Netzwerkteilnehmer sind im LAN vorhanden:

Industrie-PC mit IP 192.168.0.1                           SPS mit IP 192.168.0.2                           HMI mit IP 192.168.0.3

Folgende Netzwerkteilnehmer sind im WAN vorhanden:

PC1 mit 10.10.0.1                           PC2 mit 10.10.0.2                           PC3 mit 10.10.0.3

Um die SimpleNAT Regeln in der Gerätekonfiguration zu konfigurieren, müssen Sie zur Geräte Verwaltung navigieren und auf Firewall klicken:

 

Nun befinden Sie sich in den Firewall-Einstellungen des jeweiligen Gerätes und müssen mit dem Button (oben rechts) eine Neue Regel: SimpleNAT auswählen. Diese Regel wird wie folgt konfiguriert:

 

   Setzen Sie einen Haken bei Aktiv.

   Bei WAN-IP tragen Sie eine freie WAN-Ethernet-Adresse aus dem WAN-Netzwerk ein (hier: 10.10.0.11).

   Bei LAN-IP geben Sie die die LAN-IP-Adresse an, die Sie erreichbar machen wollen (hier: 192.168.0.1).

   Bei Kommentar können Sie die Regel für eine bessere Zuordnung kommentieren.

 


Hinweis

Nachdem die Einstellungen gespeichert wurden, muss die Konfiguration zum Gerät übertragen werden.

Da der Zugriff in diesem Beispiel auf drei Geräte hinter dem mbNET / mbNET.mini erfolgt, müssen in diesem Fall drei SimpleNAT Regeln definiert werden:

D.h. pro Gerät, auf welches zugegriffen werden muss, muss eine SimpleNAT Regel festgelegt werden.

2. Zugriff auf ein oder mehrere Geräte hinter dem mbNET über Port Forwarding

Folgender Netzwerkaufbau liegt zugrunde:

Ein PC im WAN soll über das mbNET auf die SPS (IP: 192.168.0.112) und auf verschiedene Dienste dahinter (hier: FTP und Web-Server) zugreifen können.

Hierzu muss auf dem mbNET für den FTP-Zugriff eine Forwarding Regel eingerichtet werden, welche alle Anfragen die an die IP-Adresse 172.25.15.90 und den fiktiven Port 2143 gerichtet werden, an die IP-Adresse 192.168.0.112 und den Port 21 weiterleitet.

Außerdem benötigt man für den Web-Zugriff eine weitere Forwarding Regel, welche alle Anfragen die an die IP-Adresse 172.25.15.90 und den fiktiven Port 2146 gerichtet werden, an die IP-Adresse 192.168.0.112 und den Port 80 weiterleitet.

Als Ziel-IP muss die WAN-IP-Adresse eingetragen werden, unter Ziel-Port der fiktive Port (hier: Port 2143 und 2146), unter an IP weiterleiten die IP-Adresse der SPS (hier: 192.168.0.112) und an Port weiterleiten der jeweilige Port des zu erreichenden Dienstes (hier: Port 21 und 80). Als Schnittstelle muss bei den Forwarding Regeln WAN Ethernet ausgewählt werden. Wenn das Feld Ursprungs-IP und Urspungs-Port leer ist, wird jegliche Kommunikation von allen Teilnehmern erlaubt. Wenn Sie die Kommunikation nur für bestimmte Teilenhmer erlauben möchten, müssen Sie die Ursprungs-IP oder den Urspungs-Port entsprechend eintragen.

Wenn zum Beispiel nun eine Verbindung zu dem FTP-Server der SPS mittels FileZilla hergestellt werden soll, muss im FileZilla Client unter Server die WAN-IP des mbNET, der Benutzernamen und das Passwort des FTP-Servers sowie der fiktive Port (hier: 2143) eingetragen werden:


Hinweis

Bitte verwenden Sie als fiktiven Port keinen standardisierten Port.

 

3. Zugriff auf ein oder mehrere Geräte hinter dem mbNET / mbNET.mini über einen Gateway Eintrag

Beide SPS‘n sollen über den PC2 per eigener IP-Adresse erreichbar sein. Ein Portforwarding (DNAT) ist hier nicht möglich, da speziell hier bei einer Siemens SPS die Portzuweisung im PC2 nicht einstellbar ist.

  1. Einstellungen der Geräte:
    1. SPS1: IP: 192.168.0.112/24, Gateway: -----
    2. SPS2: IP: 192.168.0.114/24, Gateway: -----
    3. PC2: IP: 172.25.15.74/16, Gateway: 172.25.15.90
  2. Router IP-Addressen LAN und WAN einstellen.

  3. In den Firewall Einstellungen sicherstellen, dass die SNAT (LAN) Funktion selektiert ist.
  4. Geben Sie in den Firewall Einstellungen für jedes SPS Gerät jeweils das ICMP Protokoll frei.

Nun kann die WAN seitige PC2 auf beide LAN seitigen SPS'n zugreifen bzw. diese anpingen.

 

Revision: V1.0